使用 VPC Service Controls 设置服务边界

VPC Service Controls 是 Google Cloud 的一项功能,可让您设置服务边界并创建数据传输边界。您可以将 VPC Service Controls 与 Eventarc 搭配使用来帮助保护服务。

我们建议您在创建服务边界时保护所有服务。

限制

在受服务边界保护的项目中,存在以下限制:

Eventarc Advanced

  • 服务边界外部的 Eventarc Advanced 总线无法接收来自边界内的 Google Cloud 项目的事件。边界内的 Eventarc Advanced 总线无法将事件路由到边界外的使用方。

    • 如需发布到 Eventarc Advanced 总线,事件的来源必须与总线位于同一服务边界内。
    • 如需使用消息,事件使用方必须位于与总线相同的服务边界内。
  • 您无法在服务边界内创建 Eventarc Advanced 流水线。您可以测试 VPC Service Controls 对 MessageBusGoogleApiSourceEnrollment 资源的支持,并查看入站流量的平台日志;但无法测试 VPC Service Controls 出站流量。如果其中任何资源位于服务边界中,您将无法设置 Eventarc Advanced 以便在该边界内端到端传送事件。

Eventarc Standard

  • Eventarc Standard 受到与 Pub/Sub 相同限制的约束:

    • 将事件路由到 Cloud Run 目标时,您只能在将推送端点设置为使用默认 run.app 网址的 Cloud Run 服务时创建新的 Pub/Sub 推送订阅。自定义网域不起作用。

    • 将事件路由到 Pub/Sub 推送端点设置为 Workflows 执行的 Workflows 目标时,您只能通过 Eventarc 创建新的 Pub/Sub 推送订阅。 请注意,用于 Workflows 端点的推送身份验证的服务账号必须包含在服务边界内。

  • VPC Service Controls 会阻止为内部 HTTP 端点创建 Eventarc 触发器的操作。 将事件路由到此类目标时,VPC Service Controls 保护不适用。

后续步骤